Журнал "Директор по безопасности" Сентябрь 2021 | Page 13

ТЕМА НОМЕРА : КАДРОВАЯ

: КОМПЛЕКСНАЯ

БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Бороться и искать , догнать и обезвредить

АЛЕКСАНДР БУЛАТОВ , коммерческий директор компании RuSIEM

О КОМПАНИИ RUSIEM RuSIEM – российская компания , занимающаяся созданием решений в области мониторинга и управления событиями информационной безопасности на основе анализа данных в реальном времени . Компания работает на российском ИТ-рынке с 2014 года и является резидентом Сколково . Среди решений компании – программный комплекс обеспечения информационной безопасности ( ИБ ), позволяющий собирать и анализировать информацию о событиях ИБ , получаемую из разнородных источников . Работа RuSIEM позволяет увидеть максимально полную картину активности сетевой инфраструктуры и событий информационной безопасности .

С тем , что система мониторинга и управления событиями информационной безопасности – вещь в хозяйстве очень полезная , – согласны , наверное , уже почти все , кто хоть краем глаза видел реакцию руководства компаний на такие последствия реализации киберрисков , как нарушение непрерывности бизнеса , хищение средств и защищаемых законом данных . Но вот убедить это самое руководство , что вы не двугорбое мозоленогое , и SIEM-система это для вас не игрушка , а уже необходимый инструмент – получается не всегда , и всегда – не с первого раза . Мы прошерстили интернет и практически не нашли краткого и емкого мануала , который помог бы специалисту по IT или ИБ понять , что компания « доросла » до ее установки , и как доказать это руководству . В связи с этим решили написать его сами . Как говорится , новое – хорошо забытое старое .

Последние пять лет наблюдается рост расходов российских компаний на организацию обеспечения информационной безопасности . По мере реализации киберугроз приходит понимание того , что управление информационной безопасностью повышает непрерывность бизнес-процессов , сохранность средств и данных , устойчивость репутации , а значит – снижает расходы на ликвидацию этих и других последствий реализации угроз . Информационная безопасность – это и результат , и процесс . Вопрос в том , как определить его стоимость и выбрать оптимальную модель : handmade или промышленное решение .

Очевидно , SIEM становится действительно нужна , когда количество событий , их видов и источников у компании становится так много , что оперативно разбирать эти события силами сотрудников вручную больше не получается . Организация с одной стороны понимает риски , с другой – не имеет возможности обнаруживать угрозы и минимизировать их имеющимися ресурсами . Отдельно мониторить антивирус , систему обнаружения вторжений , множество различных консолей и сопоставлять аномалии становится сложно , поэтому нужен единый интерфейс их обработки . Без этого невозможно адекватное реагирование на инциденты , та самая минимизация рисков , которую хотят руководители и собственники бизнеса .

Существует устоявшееся мнение , что внедрять SIEM-систему нужно после того , как установлены все необходимые инструменты защиты и выстроена ИТ-инфраструктура . Однако практика показывает , что в этом случае можно утверждать , что в организации уже утерян единый контроль и мониторинг событий информационной безопасности . И внедрение SIEM-системы превращается в объемный проект , длительность которого может растянуться на год и больше . Не претендуем на единственно правильное мнение , но однозначно можно рекомендовать начинать использовать SIEM-систему на самом раннем этапе построения ИТ- и ИБ-инфраструктуры . Тогда процесс мониторинга и управления инцидентами будет органически выстраиваться с самого начала и не превратится в непосильную задачу описать и внедрить в SIEM-систему за полгода то , что выстраивалось в компании десятилетиями .

Теоретически можно , конечно , собрать и настроить такую систему силами штатного специалиста – однако для этого он должен иметь , во-первых , многолетний опыт работы в этой сфере , во-вторых – значительный запас времени , которого всегда нет . Поэтому после того , как сам факт необходимости этой работы доказан , на помощь приходит простая математика : подсчитать , что менее затратно – поставить и настроить SIEM ( и за счет перераспределения персонала не раздувать штат ) или нанять дополнительно необходимое количество работников .

Вторая задача , которую помогает решать SIEM , – это оперативное расследование инцидентов и стоящих за ними атак . Современные атаки происходят в несколько этапов и затрагивают не какую-то одну часть IT-инфраструктуры изолированно от остальных . « Сейчас так никто не делает »: злоумышленники использует для проникновения один инструмент , заражают другим , распространяют заражение с помощью третьего , и все эти действия выглядят совершенно по-разному и происходят не одномоментно . То есть , у компаний есть определенный лаг по времени , который они могут использовать на обнаружение атаки , а могут – на опережение злоумышленников , которые , пробив внешний периметр защиты , готовят следующий этап . И если у сотрудников нет единой системы , где информация собирается , сопоставляется и анализируется , скорость выявления угроз и реагирования на них будет на грани бессмысленности этой работы вообще . Она будет обнаруживать атаки не « в зародыше », а постфактум – когда уже реализовался тот или иной риск ( компрометация данных , хищение средств и т . д .).

Пример : компания это обнаружила заражение вредоносом , и теперь ей необходимо понять , какие еще компьютеры заражены . Уже известно , что этот вредонос обращается к внешнему IP-адресу с зараженного компьютера . Логично предположить , что так будут поступать все зараженные машины . Для этого нужно посмотреть на всю сеть , проанализировать логи файерволлов , других компов и т . д . Вручную это может занять недели . И это только один файл , от одного пользователя . А если таких алертов за последний месяц было шесть ? Десять ? При этом когда есть SIEM – ее оператор просто задает нужный параметр через поиск и получает список тех , кто еще обращался на этот внешний IP .

То есть , SIEM позволяет не только более точно обнаруживать события информационной безопасности ( при правильной настройке ), но и нужна чтобы сокращать время реагирования и расследования инцидентов . Это вторая причина , указывающая на то , что пора ее ставить .

Третья причина , по которой есть смысл пользоваться SIEM , – это обеспечение соответствия требованиям регуляторов . Например , у субъектов КИИ есть обязанность сообщать об инцидентах в НКЦКИ у финансовых организаций – в НКЦКИ и Банк России . У тех и других есть определенные требования к формату и структуре предоставляемых данных . Небольшие компании или банки , возможно , способны вручную их собирать и приводить в соответствие с требованиями к составлению отчетов , но с ростом числа сотрудников и усложнением IT-инфраструктуры это становится нереально . И здесь на помощь приходит единая такосномия , которую также можно прописать в требованиях для формирования отчетов в SIEM-системе .

Теперь о том , в каких случаях лучше купить SIEM от вендора , а не делать самим .

Первый случай – низкая эффективность рукописной SIEM , о чем свидетельствует большое количество ложных срабатываний ( false positives ), а также случаи пропуска реальных инцидентов . Профессиональные коммерческие SIEM намного лучше работают с активами ( компьютерами , серверами и иными элементами IT-инфраструктуры ). В частности , в отличие от рукописных систем , они умеют регистрировать инциденты на тех активах , где они произошли . На основе данных , полученных со сканера уязвимостей , система понимает , какие есть уязвимости на том или ином активе , и при расследовании зафиксированного на нем инцидента показывает , могли ли его в принципе так взломать . Это позволяет заранее прогнозировать вероятность реализации различных видов угроз для систем разной степени критичности и оценивать потенциальный ущерб . Привет категорированию объектов КИИ .

Второй случай , когда есть смысл покупать SIEM – когда очевидно , что компании уже не хватает текущих возможностей представленных на рынке решений ( не говоря уже о рукописных ). Небольшим компаниям достаточно системы с предустановленными правилами корреляции . Но когда организация начинает расти – стандартных правил уже не хватает , и возникает необходимость прописывать свои .

При этом необходимо понимать , что для этого нужно сначала спрогнозировать угрозы ( в идеале для этого у вас уже есть модель угроз ) и прописать под них правила корреляции , которые позволят обнаружить аномалию . « Коробочная » версия такое делать не умеет , и правила нужно будет прописывать вручную исходя из устройства внутренней инфраструктуры организации .

Для этого будет необходимо указать параметры , которые надо мониторить , дать системе время на обучение и формирование baseline и затем задать критерии порога отклонений , взятые из модели угроз либо сформулированные с нуля .

Пример : системный администратор обычно заходит в систему с некоего одного IP-адреса . Система запоминает , что определенный набор команд ( например , дать доступ по SSH ) подается с него . Когда доступ по SSH происходит с другого IP , SIEM-система распознает это как аномалию .

Если IT-инфраструктура организации будет расширяться , то количество угроз и уязвимостей будет расти , требований к управлению риском ИБ будет становиться больше , атаки – разнообразнее . Не все средства защиты могут выявлять атаки , поскольку в большинстве случаев делать это можно только сопоставляя информацию с разных источников и дописывая правила корреляции по мере обнаружения угроз , не дожидаясь обновлений от разработчиков ПО . Атаки на развивающиеся компании сами по себе настолько сложные , что в дополнение к ним приходится подключать анализ поведения пользователей ( User and Entity Behavioral Analytics , UEBA ), а также функцию проактивного обнаружения нетиповых угроз и целевых атак на конечных точках ( Endpoint Threat Detection & Response , EDR ). То есть , чем сложнее будут атаки , тем большим количеством функций нужно будет дополнять SIEM – и тут уже на коленке без отрыва от производства все это не пропишешь .

К примеру , организация помимо SIEM пользуется системой обнаружения вторжений ( Intrusion Detection System – IDS ). Ее в целом достаточно , но по мере появления новых видов атак становится все более очевидна необходимость выгружать из нее списки индикаторов компрометации , чтобы строить на их основе процессы реагирования – к примеру , в рамках решений для оркестровки систем безопасности ( Security Orchestration , Automation and Response – SOAR ). В обоих случаях SIEM нужно будет либо дополнительно интегрировать с этими решениями , либо прописывать возможность обмениваться с ними информацией .

Пример : компания перешла на удаленку . Для доступа к внутренним системам ( CRM , ERP и т . д .) она использует внешний сервис ( VPN ). То есть , работая из дома , все сначала авторизуются в VPN , а потом подключаются к внутренней системе . Если между ними настроить корреляцию событий , то можно обнаружить , что кто-то пытается подключиться к ERP , минуя VPN ( хотя по идее , все на удаленке и такого быть не должно ). Чтобы обнаружить такую аномалию , нужно научить SIEM правильно делать корреляцию информации из различных систем для выявления угроз .

Четвертая причина – намерение компании сделать полноценный SOC , чтобы иметь возможность самостоятельно обнаруживать инциденты на ранних стадиях , грамотно на них реагировать и расследовать , чтобы понимать , кто за этим стоит . В случае сработки системы компания будет получать не только описание угрозы , но и контекст : что это за преступная группировка , какова ее цель , какие еще устройства были или могут быть затронуты . В сочетании с SOAR , система сможет моделировать весь цикл атаки и позволит выстраивать весь процесс реагирования .

Одна из тенденций , которую видим мы как вендор – это движение компаний , оперирующих чувствительными , а особенно – защищаемых законом данными в сторону in-house SOCов . Не все смогут доверять облачным решениям или SaaS ( security as a service ). Поэтому ряду организаций придется выстраивать свой SOC , используя решения , созданные на основе максимально соответствующих его задачам технологий . О будущем таких SIEM мы поговорим в следующем материале .

SIEM – это следующий шаг после установки инструментов защиты данных ( антивирусного ПО , DLP , IDS , сетевых экранов , сканеров оборудования и других )